Silver Fox притворяется установщиком Teams, заражая компьютеры ValleyRAT

Silver Fox притворяется установщиком Teams, заражая компьютеры ValleyRAT

Серия целенаправленных атак против китайских предприятий раскрыта исследователями ReliaQuest. Операция осуществляется группой киберугроз под названием Silver Fox, действующей в Китае. Для достижения своих целей злоумышленники используют популярное программное обеспечение Microsoft Teams, распространяя вредоносные файлы под видом официальных инсталляторов. Данная схема началась в ноябре 2025 года и активно используется для внедрения malware ValleyRAT, известной ранее как Winos 4.0.

♻ Особенности атаки:

1. Имитация российского происхождения: Хакерская группа специально добавила элементы русского языка в используемое ими вредоносное ПО, пытаясь ввести исследователей в заблуждение относительно истинного автора атаки. По мнению эксперта ReliaQuest Хейдена Эванса, такое поведение создаёт впечатление причастности россиян, хотя на самом деле ответственность несёт китайский коллектив.
2. Поддельный сайт Microsoft Teams: Пользователи получают предложение скачать установочный пакет якобы официальной программы Microsoft Teams с сайта, размещённого на серверах Alibaba Cloud. Архив имеет название MSTчamsSetup.zip, подчеркивая внимание к русскоязычным элементам. Внутри архива содержится вирусный файл Setup.exe, представляющий собой подделку стандартного установочного пакета Teams.
3. Скрытая деятельность: Троянизированная версия Teams проверяет активные процессы на предмет наличия защитных утилит, таких как антивирус 360 Total Security. Затем вредонос добавляет исключения в список доверенных объектов Microsoft Defender, копирует себя в скрытые директории и запускает оттуда, продолжая своё распространение.
4. Методы повышения привилегий: После успешной регистрации основной программы, атакующая сторона применяет дополнительные механизмы, включая создание временных файлов в AppData, запись конфигурационных данных и активацию скрытого соединения с управляющим сервером. Инфицированные машины становятся управляемыми дистанционно, позволяя злоумышленнику получать доступ к данным, исполнять команды и сохранять длительное присутствие в сети.

♻ Последствия и риски:

1. Финансовая выгода: Основным мотивом Silver Fox являются денежные махинации и хищения финансовых активов жертв. Уязвленные компании несут значительные убытки, теряют важную информацию и страдают от последствий нарушения конфиденциальности.
2. Геополитическое преимущество: Помимо денежных преступлений, Silver Fox собирает секретные разведданные, используя инфицированные устройства для шпионажа и влияния на политические события.
3. Правдоподобное отрицание: Сложная структура атаки и манипуляции с языком позволяют группе сохранить анонимность и избежать прямой ответственности. Отсутствие связи с государственными органами облегчает проведение операций.

♻ Другие методы доставки:

Ранее группа Silver Fox использовала похожие схемы с другим популярным программным обеспечением, включая Google Chrome, Telegram, WPS Office и DeepSeek. Все они приводили к аналогичному финалу — проникновение ValleyRAT на компьютер жертвы.

Исследования показывают, что данная операция отличается высоким уровнем подготовки и технической сложности. Использование таких механизмов, как BYOVD (Bring Your Own Vulnerable Driver), демонстрирует желание группы повысить эффективность эксплуатации имеющихся недостатков безопасности.

В заключение, эксперты призывают к повышенной бдительности и настоятельно рекомендуют компаниям регулярно проверять защиту своих сетей и использовать специализированные инструменты для предотвращения проникновения вредоносных программ.